Andmekaitse inspektsioon: salasõnadega autentimine ei ole turvaline
Andmekaitse inspektsiooni e-õppe keskkondade seire näitas, et Eesti kõrg- ja rakenduskõrgkoolide teadlikkus oma vastutusest isikuandmete töötlemisel e-õppe keskkondades on madal, infotehnilised turvameetmed vajavad ajakohastamist ning valdavalt puuduvad ka nõuetekohased kasutustingimused.
Inspektsioon rõhutas, et üksnes salasõnadel põhinev autentimine ei ole enam turvaline ja soovitab õppeasutustel seadistada kaheastmeline autentimine kõikides teenustes, kus võimalik.
Inspektsiooni hinnangul peavad õppeasutused e-õppe korraldamisel tagama kasutatavates vahendites andmekaitsenõuete täitmise ning seda ka nende teenuste osas, mis on õppeasutuse eesmärkide täitmiseks tellitud välistelt koostööpartneritelt.
Inspektsioon tunnustas õppeasutusi, mis kasutavad õppijate tuvastamisel ID-kaarti ja mobiil-ID-d, kuid nii mõneski e-õppe keskkonnas vajab autentimine ja salasõnade haldus ajakohastamist.
Valdavalt puudusid seiresse kaasatud õppeasutustel ka nõuetekohased e-õppe keskkondade kasutustingimused, kus kirjas kes, mis eesmärgil ja millisel õiguslikul alusel milliseid õppijate isikuandmeid töötleb ja kellele vajadusel edastab.
Kui e-õppe keskkonna kasutamine on õppeprotsessi kohustuslik osa, võib need tingimused kirjeldada õppeasutuse sisekorras või õppekorraldust reguleerivates dokumentides. Need peavad õppijatele olema kättesaadavad ning õppeasutus peab tagama, et õppijad on nendega ka tutvunud.
Inspektsioon kontrollis juunis e-õppe keskkondasid, et saada ülevaade, milliseid e-õppe keskkondi Eesti kõrg- ja rakenduskõrgkoolid oma õppetegevuses kasutavad ning milline on isikuandmete töötlemise olukord ja õppeasutuste teadlikkus andmekaitse põhimõtetest ja nende rakendamisest e-õppe läbiviimisel.
Seiresse kaasati 10 Eesti kõrg- ja rakenduskõrgkooli, kel tuli vastata inspektsiooni esitatud küsimustele.
Kõige põhjalikumalt selgitasid õppijate isikuandmete töötlemist e-õppe keskkondade kasutamisel Tartu ülikool ning Tallinna ülikool. Vastasid ka Tallinna tehnikaülikool, sisekaitseakadeemia, Tallinna majanduskool, Tallinna tehnikakõrgkool, EBS, Tallinna tervishoiu kõrgkool ning Tartu tervishoiu kõrgkool. Eesti ettevõtluskõrgkool Mainor inspektsiooni küsimustele vastuseid ei andnud.
Jätkutegevusena võtab andmekaitse inspektsioon kõigi seires osalenud õppeasutustega ühendust ja annab neile soovitusi isikuandmete kaitse nõuete paremaks täitmiseks e-õpikeskkondade kasutamisel.
Toimetaja: Marek Kuul